El malware conocido como Litrodo se ha convertido en el último en adoptar la técnica de ingeniería social ampliamente utilizada llamada ClickFix como un vector de distribución.
“El Técnica de clickfix es particularmente arriesgado porque permite que el malware se ejecute en la memoria en lugar de ser escrito en el disco “, dijo Expel en un informe compartido con las noticias del hacker.” Esto elimina muchas oportunidades para los navegadores o herramientas de seguridad para detectar o bloquear el malware “.
Latrodectus, que se cree que es un sucesor de ICEDID, es el nombre dado a un malware que actúa como descargador para otras cargas útiles, como el ransomware. Primero fue documentado por Promio y Team Cymru en abril de 2024.
Por cierto, el malware es uno de los muchos software malicioso para sufrir un retroceso operativo como parte de la Operación Endgame, que eliminó 300 servidores en todo el mundo y neutralizó 650 dominios relacionados con Bumblebee, Lactrodectus, Qakbot, Hijackloader, Danabot, Trickbot y Warmcookie entre el 19 de mayo y el 22, 2025.
En el último conjunto de ataques Latrodectus observados por Expel en mayo de 2025, los usuarios desprevenidos son engañados para copiar y ejecutar un comando PowerShell desde un sitio web infectado, una táctica que se ha convertido en un método prevalente para distribuir una amplia gama de malware.
“Cuando un usuario ejecute por un usuario, estos comandos intentarán instalar un archivo ubicado en la URL remota usando MSIEXEC y luego ejecutarlo en la memoria”, dijo Expel. “Esto evita que el atacante tenga que escribir el archivo a la computadora y arriesgarse a ser detectado por el navegador o un antivirus que podría detectarlo en el disco”.
El instalador de MSI contiene una aplicación legítima de NVIDIA, que se utiliza para marcar una DLL maliciosa, que luego usa Curl para descargar la carga útil principal.
Para mitigar los ataques de este tipo, se recomienda deshabilitar el programa Windows Ejecutar utilizando objetos de política de grupo (GPO) o apagar la tecla Hot “Windows + R” a través de un cambio de registro de Windows.
De ClickFix a Tiktok
La divulgación se produce cuando Trend Micro reveló detalles de una nueva campaña de ingeniería que, en lugar de confiar en las páginas falsas de Captcha, emplea videos de Tiktok probablemente generados utilizando herramientas de inteligencia artificial (IA) para entregar los robadores de información Vidar y Stealc al instruir a los usuarios a ejecutar comandos maliciosos en sus sistemas para activar Windows, Microsoft Office, Capcut y Spotify.
Estos videos se han publicado en varias cuentas de Tiktok como @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc y @digitalDreams771. Estas cuentas ya no están activas. Uno de los videos que afirman proporcionar instrucciones sobre cómo “aumentar su experiencia de Spotify al instante” ha acumulado casi 500,000 visitas, con más de 20,000 me gusta y más de 100 comentarios.
La campaña marca una nueva escalada de ClickFix en que los usuarios que buscan formas de activar aplicaciones pirateadas se guían verbal y visualmente para abrir el cuadro de diálogo Windows Run presionando la tecla Hot “Windows + R”, el lanzamiento de PowerShell, y ejecuta el comando resaltado en el video, comprometiendo sus propios sistemas.
“Los actores de amenaza ahora están utilizando videos de Tiktok que se generan potencialmente utilizando herramientas a IA para diseñar socialmente a los usuarios para ejecutar comandos de PowerShell bajo la apariencia de guiarlos a activar software legítimo o desbloquear características premium”, investigador de seguridad Junestherry dela Cruz dicho.
“Esta campaña destaca cómo los atacantes están listos para armarse las plataformas de redes sociales que sean actualmente populares para distribuir malware”.
Aplicaciones de Ledger falsas utilizadas para robar frases de semillas de los usuarios de Mac
Los hallazgos también siguen el descubrimiento de cuatro campañas de malware diferentes que aprovechan una versión clonada de la aplicación Ledger Live para robar datos confidenciales, incluidas las frases de semillas, con el objetivo de drenar las billeteras de criptomonedas de las víctimas. La actividad ha estado en curso Desde agosto de 2024.
Los ataques utilizan los archivos DMG maliciosos que, cuando se lanzan, inician Applecript para exfiltrar contraseñas y datos de Apple Notes, y luego descargar una versión troyanizada de Ledger Live. Una vez que se abre la aplicación, advierte a los usuarios de un supuesto problema de cuenta y que requiere su frase de semillas para la recuperación. La frase semilla ingresada se envía a un servidor controlado por el atacante.
Moonlock Lab, que arrojó luz sobre la campaña, dijo que las aplicaciones deshonestas hacen uso de MacOS Stealer Malware como Atomic MacOS Stealer (AMOS) y Odyssey, la última de las cuales introdujo el nuevo esquema de phishing en marzo de 2025. Vale la pena señalar que la actividad se superpone con una campaña de Infoster de MacOS que se revela a los usuarios de Live Users a través de los binarios de Janers, asaltados, asaltados, asaltados.
“En los foros web oscuros, la charla en torno a los esquemas anti-legisadores está creciendo. La próxima ola ya está tomando forma”, la división de ciberseguridad de MacPaw anotado. “Los piratas informáticos continuarán explotando el lugar de los propietarios de Crypto de confianza en Ledger Live”.
About the Author
